[转帖][攻防测试工具]系统监控必备工具procexp和procmon
Procexp
procexp:http://d.1tpan.com/tp0895086425(中文版)
http://download.sysinternals.com/files/ProcessExplorer.zip(官網)
Procemon
http://d.1tpan.com/tp1332878824? ?? ???(中文版)
http://live.sysinternals.com/Procmon.exe (官網)
1.Procexp
圖1.procexp進程瀏覽器
啟動procexp.exe后,我們可以在你需要查看的進程上右鍵>屬性查看,也可以直接雙擊或點擊工具欄上方的手勢按鈕,打開后我們可以看到程序的路徑,參數,線程等等信息,如圖2所示:
圖2.查看進程詳細信息
此處我們可以查看一個進程的文件版本,加載線程,網絡連接等各方面信息,其中有個比較有用的功能是校驗程序的真偽.
我們知道目前網絡上病毒猖狂,偽造的或者被人修改的系統文件比比皆是,在這么多文件里面我們根本難以區分哪些文件真正屬于微軟原版文件,指不定一個外表看上去微軟得不能再微軟的程序,實際上跟微軟一點關系也沒有,甚至是植入了惡意程序.
當一個程序簽名是微軟的信息,而實際上被注入第三方線程或者干脆非微軟時,軟件默認會以紫色醒目提示.同時,我們可以查看該進程屬性,點擊"verify"按鈕,程序會自動與微軟提供的程序符號表校對,如果確系微軟文件,將會在版本信息處標識已校驗通過.
反之,如果非微軟的文件,則肯定無法與微軟提供的符號表相匹配,軟件將會提示無法驗證.如果簽名信息為微軟,而又無法在此處通過驗證,那么此時你就要多留意此文件的安全性了.
1.2 查看程序調用關系
圖3.查看程序調用關系
一個程序往往由很多組件組成,程序通過各種調用關聯完成一系列的功能.當然,現在的程序編寫多采用標準庫,查看到的也包含系統提供的相關模塊.
我們可以點擊工具欄上的面板按鈕,也可以按快捷ctrl+l或者ctrl+d,一般多用ctrl+d,軟件將自動展開程序的下級調用查看面板,我們選擇一個程序,可以在下方看到相應的調用關系.
比如我要查看瀏覽器都加載了哪些插件,那么可以啟動瀏覽器,然后選擇瀏覽器進程,查看起調用的所有動態鏈接庫.可能大部分都是微軟的公司簽名,那么我們可以點擊公司名稱標簽排序,這樣就可以快速地篩選出非微軟的程序了.當然,純粹公司名是可以任意偽造的,要驗證真偽請參考前文.
在進程調用關系上,我們經常可以用于定位某些彈窗軟件.
我們經常會發現右下角多出個小窗,小窗內播放著各種誘惑的東西,這種廣告多如牛毛,還不知道是誰彈的,那么此功能就派上用場了.
左鍵點住工具欄上的雷達圖標(一般是最后一個),拖到彈出的小窗上再松開,程序自動定位到窗口程序,其程序間的父子關系一目了然,父進程就是罪魁禍首了,該怎么辦您自己看著辦.
1.3 查找文件占用
其實是查看程序調用功能的延伸,本身程序能檢查到各個文件之間的相互調用關系,那么就很好理解此功能的來源了.
我們平常可能會經常用到unlock這種工具刪除被占用的文件,原理也類似,我們可以利用procexp查找占用,然后將占用的程序結束掉再刪文件,就不用裝unlock了.
有一種程序一啟動就會占用的文件,此時我們可以將進程結束,然后點擊菜單>file>run/save等功能任意選一個,打開windows的對話框,在此找到要刪除的文件,右鍵能看到explorer下一樣的菜單,將文件刪除即可.
2.procmon
前面說過了,SYSINTERNALS SOFTWARE收歸微軟后,除了procexp和tcpview,文件和注冊表監控工具都已不支持vista以上版本系統,取而代之的是集文件,進程,注冊表,網絡監控功能為一體的procmon.
procmon集成了:
a.filemon和diskmon的文件讀寫監控功能
b.regmon的注冊表讀寫監控功能
c.tcpview的網絡連接監控功能
d.procexp的進程監控功能
process monitor的界面延續了其集成軟件的風格,菜單按鈕基本一致,在最右側提供了功能過濾區,當不需要某個監控功能時將其置于非按下狀態,則不會在下方信息顯示框中顯示該功能信息.
?展示區默認展示進程名,pid,操作項,路徑,操作結果和相信信息顯示,通過這些信息組合,我們可以知道一個程序到底做了什么.
這么個工具抓到的信息量是驚人的,每秒鐘估計可以抓到系統中事件成百上千個,如果直接一個個去看,那么將是個難以想象的工程量.
對此,我們需要對抓到的信息進行過濾,最終只顯示我們需要的信息.
? ?? ?? ?? ? 右鍵設置過濾規則
針對文件監控結果,你可以再次進入過濾規則設置那添加條件,也可以在選擇的事件上右鍵設置過濾規則.如不需要關閉操作的事件,那么在關閉操作上右鍵>排除關閉文件,那么對應的關閉操作都將不展示.
一系列過則過濾后,最終呈現的將是我們需要的信息,從這些信息中我們可以得知該程序做了什么操作,結果如何等.
右鍵設置規則對初學者來說十分有用,在哪右鍵就可以針對哪設置包含,排除,高亮等規則,具體可以自己進行嘗試.
這里需要說明下,其實procmon是將所有的時間都捕獲,所以設置各種過濾規則只是顯示的問題.由于捕獲了大量的事件,時間久了可能出現機器卡的情況,請適時將時間做清除操作.當然,我們也可以將時間保存成文本,便于后續分析或者轉交他人查看.
總結
以上是生活随笔為你收集整理的[转帖][攻防测试工具]系统监控必备工具procexp和procmon的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SDL教程4——在VS2010中设置SD
- 下一篇: CGContextAddLines和CG